Максимум пользы

Седьмой Positive Hack Days под девизом «Противостояние: враг внутри»

24.05.2017
10:40

События седьмого Positive Hack Days неслучайно объединены темой «Противостояние: враг внутри»: эта реальность уже приходит в офисы и квартиры. В первый день на международном форуме по практической безопасности собрались более 4000 человек из разных стран.

Эксперты демонстрировали процесс заражения криптолокерами, создавали экспериментальный ботнет из маршрутизаторов, показывали процесс взлома электрических подстанций и аккаунтов WhatsApp, техники перехвата SMS и телефонных разговоров.

Как не закричать от WannaCry

Начальник отдела обеспечения информационной безопасности ПАО «МТС» Андрей Дугин сообщил о «SOC в большой корпоративной сети. Challenge accepted». Он рассказал об этапах построения Security Operations Center в компании «МТС». В последние два года компания оттачивает технологии и оптимизирует процессы, а операторы с режима работы 8х5 перешли на 24х7. Не обошлось без обсуждения горячей темы WannaCry. Андрей Дугин поделился информацией о том, как команда SOC отразила атаку. В «МТС» сделали ставку на проактивные действия — на patch management, резервное копирование, работу с пользователями, мониторинг событий ИБ — в журналах собственных систем и в мире.

Новая еда для ботнетов

О темной стороне интернета вещей рассказали специалисты Positive Technologies, продемонстрировав, как злоумышленники могут взломать самые разные устройства. По данным экспертов Positive Technologies, в мире более 3,5 млн уязвимых камер. Для доступа к видеозаписям камеры отдельно взятого пользователя достаточно 60 секунд, пары запросов в Shodan и одного запроса в Google. Не менее удобны для заражения домашние роутеры. Пароли примерно 15 из 100 таких девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар логин—пароль (в тройку входят admin:admin, support:support, admin:0000), можно получить доступ к «админке» каждого десятого устройства.

Сегодня все боятся DDoS-атак, и тема защиты IoT поэтому особенно важна. Артем Гавриченков, CTO в Qrator Labs, объяснил, каким образом ситуация в области DDoS-атак кардинально изменилась буквально за один год, и в чем заключаются новые подходы к борьбе с подобными атаками. Говоря о необходимом запасе прочности для объектов в сейсмически опасных районах, он привел любопытный пример. Инженер одной из японских АЭС, которая была расположена ближе к эпицентру памятного цунами, чем знаменитая Фукусима, — лично настоял на дамбе высотой 14 метров, хотя нормы предусматривали высоту лишь 12 метров... В результате 13-метрового цунами станция не пострадала — в отличие от Фукусимы.

Армия из маршрутизаторов

Эксперт по ИБ должен разбираться в проблемах создателей ботнетов, чтобы эффективно бороться со злоумышленниками. У «ботнетовода» множество задач: найти интернет-трафик и подготовить инфраструктуры для эксплойтов и dropzone, арендовать «пуленепробиваемый» хостинг, зашифровать вредоносный бинарный файл для антивирусов, создать протоколы управления, запустить C2 и при этом постоянно скрываться за несколькими комбинированными слоями VPN, SSH и прокси. Но есть способ обойти острые углы. Как хакер может упростить создание своей армии зомби-компьютеров, рассказали Максим Гончаров и Илья Нестеров в докладе «Вивисекция: анатомия ботнета из маршрутизаторов».

«Ботнетоводам сегодня не хватает маршрутизаторов, которые можно легко перепрошить, — рассказывают исследователи. — Для большинства роутеров сложно написать свой код: надо знать версию Linux и библиотеки. Например, в ситуации с 5 миллионов роутеров Deutsche Telekom злоумышленники не могли сменить прошивку, в результате восстановить нормальную работу роутера можно было просто выключив его из розетки и подождав 30 секунд. Однако есть, к примеру, такие девайсы, как OpenWRT производства NetGear: для них прошивку написать можно».

Готовимся к вымогателям

О шифровальщиках как о проблеме номер один еще полтора года назад говорили аналитики Palo Alto Networks, IBM X-Force, TrendMicro и других компаний. Сегодня, когда вирус-вымогатель WannaCry заразил сотни тысяч компьютеров более чем в 150 странах, доклад Моны Архиповой «Инциденты с использованием ransomware. Расследование» звучит особенно актуально. Руководитель направления архитектуры и мониторинга информационной безопасности компании Acronis шаг за шагом воспроизвела процесс заражения конечного ПК программой Osiris, показав наблюдателям слабые места в системе защиты. Для снижения риска необходимо регулярно проверять работоспособность агентов антивирусов, DLP и других систем, тестировать восстановление из бэкапов и иметь резервные рабочие станции для критически важных пользователей.

Взламываем MacBook

Экс-сотрудник АНБ и NASA Патрик Уордл в техническом обзоре нового вредоносного ПО для macOS осветил свойства, векторы заражения и механизмы устойчивости «яблочных» зловредов. Уордл представил универсальные методы обнаружения атак (generic detections), которые обеспечивают безопасность macOS. Он рассказал о первом шифровальщике KeRanger для macOS. Вначале злоумышленники воспользовались веб-уязвимостью, взломав сайт популярного торрент-трекера Transmission, после чего разместили в этой свободно распространяемой программе свой код. Вредоносная версия провисела на официальном сайте несколько ночных часов. От пользователей, загрузивших Transmission, торрент-трекер требовал один биткойн, в противном случае угрожая блокировать все файлы на жестком диске.



Перехватываем аккаунты в WhatsApp и Telegram

Сегодня для получения доступа к секретам крупной компании зачастую достаточно взломать аккаунт сотрудника в популярном мультиплатформенном мессенджере, куда переносится все больше корпоративных чатов. Эксперт по вопросам информационной безопасности компании Check Point Роман Заикин рассказал об интересной уязвимости в WhatsApp и Telegram. Атакующий, направив безобидный с виду файл с вредоносным кодом, сможет прочитать все старые чаты пользователя и наблюдать за новыми сообщениями, получить список контактов, а также все загруженные в мессенджеры видеоролики и фотографии.

Противостояние

Интересная часть форума Positive Hack Days — приближенная к реальности битва за город между атакующими и защитниками Противостояние. В распоряжении участников Противостояния оказался целый полигон с моделью мегаполиса, в котором помимо офисов, телеком-операторов, банка, ТЭЦ и прочих объектов находится множество IoT-устройств. В первый день одна из команд атакующих вырвалась вперед благодаря взлому интернет-магазина.

Желающие почувствовать себя банковскими взломщиками боролись за виртуальные деньги в конкурсе «Большой куш», организованном при участии компаний ARinteg и QIWI. В этом году «Большой куш» превратился в полноценную финансовую систему, включающую банки, банкоматы, киоски самообслуживания, интернет-магазины. Как известно, злоумышленники могут также добраться до денег, эксплуатируя уязвимости сотовых сетей. На площадке PHDays был построен собственный оператор мобильной связи. Участники конкурса MITM Mobile пробовали перехватить SMS и USSD, клонировать мобильные телефоны и прослушивать телефонные разговоры.